Los piratas informáticos Travelex clausuraron la compañía alemana de autopartes Gedia en un «ciberataque»

Los piratas informáticos Travelex clausuraron la compañía alemana de autopartes Gedia en un «ciberataque»

El grupo criminal responsable del ataque cibernético que ha perturbado a los bancos de la calle y la cadena de cambio de divisas Travelex durante más de tres semanas ha lanzado lo que se ha descrito como un «ataque cibernético masivo» en un proveedor alemán de piezas de automóviles.

El fabricante de piezas Gedia, que emplea a 4.300 personas en siete países, dijo hoy que el ataque tendrá consecuencias de gran alcance para la compañía, que se vio obligada a cerrar sus sistemas de TI y enviar personal a casa.

La compañía de 100 años de antigüedad, que tiene su sede en Attendorn, dijo en un comunicado que tomaría semanas o meses antes de que sus sistemas estuvieran en funcionamiento, después de que el grupo criminal detrás del ataque de ransomware Sodinokibi en Travelex se atribuyera la responsabilidad del ataque. en un foro web subterráneo.

«A principios de esta semana se realizó un ataque cibernético masivo en la sede de Gedia Automotive Group en Attendorn», dijo un portavoz de la compañía. “Después del descubrimiento y la investigación, la gerencia decidió un apagado inmediato del sistema. Esta acción se tomó para evitar un colapso completo de la infraestructura de TI «.

La admisión se produjo después de que el grupo criminal detrás de una serie de ataques contra compañías que utilizan malware sofisticado que encripta archivos, conocidos como Sodinokibi o REvil, amenazaron con publicar datos confidenciales en Internet.

El grupo usó dos foros clandestinos de habla rusa en la web oscura para amenazar con publicar 50 GB de datos confidenciales, incluidos planos y detalles de empleados y clientes, a menos que Gedia aceptara pagar un rescate.

La publicación decía: «Gedia.com. No contactando con nosotros. Todas las máquinas en la red están encriptadas. Se roban más de 50 GB de datos, incluidos planos, detalles de empleados y clientes. Todo está cuidadosamente preparado para cargarse en una plataforma de intercambio de datos. Lo que no se adquirirá, lo compartiremos de forma gratuita. Siete días para la publicación.

Gedia dijo que el ataque tuvo consecuencias «de gran alcance» para todo el grupo, que tiene operaciones en países como España, Polonia, Hungría y Estados Unidos, porque todas las ubicaciones están conectadas a la infraestructura central de TI de la compañía.

Deberías leer:   Los ingresos de DoorDash aumentan a medida que los restaurantes aumentan los precios, los consumidores continúan gastando

«Dado que gran parte de la administración no puede trabajar debido al cierre, casi todos los empleados de la administración en Attendorn están inicialmente en casa dentro de una regla de horario flexible», dijo.

Plan de emergencia

El fabricante de piezas dijo que había implementado un plan de emergencia para garantizar que la producción de piezas continuara, que las materias primas fueran entregadas y que pudiera procesar las entregas de los clientes.

La compañía ha contratado expertos externos en seguridad para analizar el ataque y reparar el daño. Las indicaciones iniciales son que el ataque ocurrió en Europa del Este.

El grupo detrás del ataque, que se cree que comprende 40 sindicatos criminales, se especializa en explotar las debilidades de seguridad conocidas para acceder a los sistemas de TI de las empresas. Cifra datos confidenciales y exige un pago de rescate para dar a las empresas acceso a sus datos.

Una persona que usaba el nombre «UNKN» o «desconocido», publicó ayer amenazas en dos foros de piratería clandestina de habla rusa amenazando con vender los datos confidenciales de Gedia y publicar datos que no se vendieron en Internet en siete días.

Los atacantes han lanzado un archivo que contiene escaneos del Directorio Activo de Microsoft de Gedia, que contiene detalles de nombres de usuario y contraseñas confidenciales, como prueba de que se han infiltrado en las redes de la compañía.

Revela que los hackers usaron una herramienta, conocida como ADRecon, que también se utilizó en ataques Sodinokibi anteriores, para extraer datos de Gedia.

Amenaza de rescate de Sodinokibi publicada en foro criminal ruso

Empresa de seguridad israelí Kela, un especialista en inteligencia de amenazas de red oscura, que identificó el mensaje de rescate, dijo que los grupos criminales detrás de Sodinokibi estaban usando nuevas tácticas para aumentar la presión sobre las compañías para que paguen.

Maya Steiner, líder del equipo de inteligencia de amenazas en Kela, dijo: «Esta es una continuación de la reciente racha de» ataque y jactancia «del grupo. Esta es la segunda vez que publican documentos de «prueba», y la primera donde anuncian que están comenzando a publicar datos completos de una compañía que no ha pagado «.

Deberías leer:   Google trae a Las Toninas el cable submarino más largo del mundo

El grupo también ha utilizado el foro delictivo de habla rusa para aumentar la presión sobre otra víctima de ransomware, la empresa estadounidense de servicios informáticos Artech Information Systems, que enumera compañías de Fortune 500 como AT&T, Mastercard, Bank of America, Capital One y Wells Fargo entre sus clientela.

Los piratas informáticos publicaron 300 MB de datos, que contienen archivos de la compañía robados de Artech, que datan de 2015 a 2019, en Internet el 11 de enero de 2020.

Se entiende que los archivos incluyen los números de teléfono móvil personal de los ejecutivos de la compañía, los nombres de usuario y las contraseñas para los servidores, y las instrucciones para el personal sobre cómo conectarse a los servidores remotos de la compañía.

El grupo de delitos cibernéticos dijo en la publicación de ayer que «comenzaría a vender datos» de Artech.

Artech no respondió de inmediato a las solicitudes de Computer Weekly, pero luego confirmó que fue atacado por un ataque de malware el 14Enero.

«Como medida de precaución, de inmediato cerramos todos nuestros sistemas para investigar a fondo el ataque y determinar si algún dato confidencial o personal se vio comprometido», dijo un portavoz. «Si bien continuaremos realizando más exámenes forenses, en esta etapa creemos que no se ha comprometido ningún dato confidencial o personal».

Servidor VPN sin parchear

Según el análisis realizado por la empresa estadounidense de ciberseguridad Bad Packets, Artech tenía un servidor Pulse Secure VPN sin parches en su red, lo que lo dejó expuesto a ataques de ransomware. La compañía parchó el servidor el 4 de enero.

Troy Mursch, director de investigación de Bad Packets, dijo: «Nuestros datos históricos muestran que su servidor era vulnerable desde el 24 de agosto de 2019 hasta el 3 de enero de 2020».

Deberías leer:   TikTok reduce las ventajas de la era de la pandemia en el impulso de regreso a la oficina

Los servidores habrían sido vulnerables desde fines de abril de 2019 cuando Pulse Secure parchó el problema, dijo Mursch.

ADRecon, la herramienta de seguridad utilizada en los ataques recientes de los grupos criminales detrás de Sodinikobi, fue desarrollada por la empresa australiana Sense of Security para permitir que profesionales y hackers éticos examinen Directorio Activo en servidores de Windows, que se utiliza para controlar el acceso a la red y los permisos.

El sitio web de Sense of Security dice: “Las contraseñas débiles, el acceso de usuarios no autorizados, las cuentas de usuarios obsoletas / inactivas y las políticas débiles son catalizadores comunes para las infracciones de seguridad. ADRecon ayudará a las organizaciones a identificar estas deficiencias y abordar cualquier problema de cumplimiento presente en el directorio «.

Ataque Travelex

El grupo de piratas informáticos Sodinokibi atacó los sistemas informáticos de Travelex en la víspera de Año Nuevo, lo que obligó a la compañía a apagar sus sistemas informáticos en todo el mundo.

El ataque obligó al personal de Travelex, que tiene 1,200 puntos de venta en aeropuertos y otros sitios minoristas, a usar bolígrafo y papel para realizar un seguimiento de sus ventas de divisas durante tres semanas.

La compañía no ha podido proporcionar servicios de intercambio en línea para sus propios clientes y para los bancos de la calle, incluidos Barclays, HSBC, First Direct, Virgin, Clydesdale y Tesco Bank.

El grupo criminal amenazó con vender los detalles financieros de los clientes de Travelex en una publicación en el foro clandestino de delitos cibernéticos Exploit el 7 de enero.

«Recomendamos que Travelex comience a recaudar dinero para el pago, o DOB ​​+ SSN + CC se venderá a una parte relevante», dijo.

El grupo no ha hecho más comentarios sobre Travelex, que se ha negado a decir si ha pagado el rescate de $ 6 millones exigido por los piratas informáticos para descifrar sus datos.

La semana pasada, Travelex dijo que estaba haciendo un buen progreso en la restauración de sus operaciones, pero que sus bancos clientes aún no han restablecido los servicios de cambio.

 

Acerca de

Pilar Benegas es una reconocida periodista con amplia experiencia en importantes medios de USA, como LaOpinion, Miami News, The Washington Post, entre otros. Es editora en jefe de Es de Latino desde 2019.